Abo
  • Services:
Anzeige
Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken.
Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken. (Bild: Google Project Zero)

Project-Zero-Fristen: Google gewährt 14-Tage-Bonus für besondere Sicherheitslücken

Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken.
Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken. (Bild: Google Project Zero)

Zum Beseitigen von Sicherheitslücken in ihren Produkten sind den Entwicklern 90 Tage manchmal nicht genug. Google nimmt sich dieses Problems nun mit seinem Project Zero an: In besonderen Fällen gibt es eine kleine Pufferzone. Mitunter werden auch bestimmte Wochentage berücksichtigt.

Anzeige

Google wird seine Regeln zur Veröffentlichung von Sicherheitslücken anpassen, wie das Unternehmen in dem Blog von Project Zero ankündigt. Für seine bisherige Politik hat Google einige Kritik einstecken müssen. So veröffentlichte Google beispielsweise vollständige Details zu gefährlichen Sicherheitslücken in OS X und in Windows. Die entdeckten Sicherheitslücken hatte Google den beiden Unternehmen gemeldet und ihnen 90 Tage Zeit gelassen, um sie zu beseitigen.

In der Zwischenzeit hätten auch andere Entdecker - sollte es sie gegeben haben - die Sicherheitslücken ausnutzen können. Die Windows-Sicherheitslücke gehörte zu einer Klasse der unangenehmsten Fehler für Anwender. Es ließen sich nämlich höhere Rechte erschleichen, was das Sicherheitskonzept vieler Unternehmen und Anwender außer Betrieb setzt, die korrekterweise nur mit Standardrechten arbeiten. Die Sicherheitslücke in Apples Betriebssystem war ähnlich gravierend, da mit einem Angriff Root-Rechte erschlichen werden konnten. Die Details zu beiden Problemen hielt Googles Project Zero für 90 Tage geheim.

Responsible Disclosure setzt Entwickler unter Druck

Mit dieser sogenannten Responsible Disclosure soll den betroffenen Unternehmen Zeit zur Entwicklung eines funktionstüchtigen Patches gegeben werden. Sie soll sie aber gleichzeitig aufgrund der drohenden Veröffentlichung zum Handeln zwingen. Dieser Zwang hilft der Produktsicherheit, wie Project Zero nach Untersuchung der eigenen Statistiken meint. Microsoft beschwerte sich daraufhin über die Sturheit von Google, da das Unternehmen die Sicherheitspatches eigentlich erst einen Monat später veröffentlichen wollte. Microsoft bat zumindest um zusätzliche zwei Tage, die jedoch nicht gewährt wurden.

In Zukunft will Google solche Fristverlängerungen mit verschiedenen Optionen ermöglichen. Eine dieser Optionen ist leicht nachvollziehbar. Fällt die Frist auf ein Wochenende oder einen Feiertag in den USA, wird Google die Sicherheitslücke erst am nächsten Werktag publizieren. Die zweite Option setzt allerdings voraus, dass der Hersteller der betroffenen Software mit Google kommuniziert. Ist ein Patch beispielsweise bereits für einen kommenden Patchday geplant, der innerhalb von 14 Tagen nach Ablauf der eigentlichen 90-Tage-Frist stattfindet, gibt es einen Bonus von bis zu 14 Tagen. Dann werden die Details zur Sicherheitslücke weiter geheimgehalten. Nur sehr außergewöhnliche Umstände sollen hier noch eine weitere Verschiebung ermöglichen. Wie diese aussehen, verrät Google nicht.

Sonderbehandlungen soll es für einzelne Hersteller nicht geben. Google bleibt dabei, dass diese Fristen für alle Hersteller von Software gleich bleiben. Das heißt, Google berücksichtigt beispielsweise nicht den Marktanteil einer von Sicherheitslücken betroffenen Software und hält so weiter den Druck aufrecht. Die Regel soll auch für eigene Produkte gelten, wie Google angibt.

In der Regel reicht die 90-Tage-Frist für die Beseitigung von Sicherheitslücken. So hat es Adobe laut Project Zero geschafft, alle 37 gemeldeten Sicherheitslücken innerhalb dieser Frist zu beseitigen. Wenn die Lücken also korrekt gemeldet werden, ist Adobe zuverlässig dabei, seine Flash-Plattform zu sichern. Problematisch sind bei Adobe allerdings die in den letzten Wochen durch Kriminelle zuerst entdeckten Sicherheitslücken, auf die auch Adobe nur hastig reagieren kann. Die Sicherheitslücken müssen dann mitunter über mehrere Tage hingenommen werden. Anwender von Adobes Flash wurden dieses Jahr bereits drei Mal von solchen Sicherheitslücken überrascht, die außerhalb eines Patchtages abgesichert werden mussten.


eye home zur Startseite
heubergen 18. Sep 2015

Es ist schlimmer, bei Apple weiss es wenigstens jeder zum vorherein. Google aber tut...

__destruct() 16. Feb 2015

Interessiert nicht. In der aktuellen Software ist der Fehler nicht drin.

Sea 16. Feb 2015

So ein blödsinn da. Das ist echt Googlebashing auf unterstem Niveau. Irgendeinen Mist...

Dwalinn 16. Feb 2015

Es heißt bis zu 14 Tage. Wenn also die 90 Tage an einen Donnerstag auslaufen hat...

Lala Satalin... 15. Feb 2015

Mein erster Gedanke war tatsächlich der, der im Artikel steht. Wenn man die Vorgeschichte...



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Leinfelden-Echterdingen
  2. MBtech Group GmbH & Co. KGaA, Norddeutschland
  3. Siltronic AG, Burghausen
  4. ENERCON GmbH, Aurich


Anzeige
Spiele-Angebote
  1. (-65%) 6,99€
  2. 44,99€ (Vorbesteller-Preisgarantie)
  3. 59,99€/69,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Suchmaschinen

    Internet Archive will künftig Robots.txt-Einträge ignorieren

  2. OWASP Top 10

    Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update

  3. Apple Watch

    Apps von Amazon, Ebay und Google verschwunden

  4. Tim Dashwood

    Entwickler von 360VR Toolbox verschenkt seine Software

  5. UEFI-Update

    Agesa 1004a lässt Ryzen-Boards schneller booten

  6. Sledgehammer Games

    Call of Duty WWII spielt wieder im Zweiten Weltkrieg

  7. Mobilfunk

    Patentverwerter klagt gegen Apple und Mobilfunkanbieter

  8. Privatsphäre

    Bildungsrechner spionieren Schüler aus

  9. Raumfahrt

    Chinesischer Raumfrachter Tianzhou 1 dockt an Raumstation an

  10. Die Woche im Video

    Kein Saft, kein Wumms, keine Argumente



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fire TV Stick 2 im Test: Der Stick macht den normalen Fire TV (fast) überflüssig
Fire TV Stick 2 im Test
Der Stick macht den normalen Fire TV (fast) überflüssig
  1. Streaming Amazon bringt Alexa auch auf ältere Fire-TV-Geräte
  2. Streaming Amazon plant Fire TV mit 4K- und HDR-Unterstützung
  3. Fire TV Stick 2 mit Alexa im Hands on Amazons attraktiver Einstieg in die Streaming-Welt

Garmin Fenix 5 im Test: Die Minimap am Handgelenk
Garmin Fenix 5 im Test
Die Minimap am Handgelenk

Trutzbox Apu 2 im Test: Gute Privacy-Box mit kleiner Basteleinlage
Trutzbox Apu 2 im Test
Gute Privacy-Box mit kleiner Basteleinlage
  1. Malware Schadsoftware bei 1.200 Holiday-Inn- und Crowne-Plaza-Hotels
  2. Zero Day Exploit Magento-Onlineshops sind wieder gefährdet
  3. Staatstrojaner Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

  1. Re: Müll

    Muhaha | 09:18

  2. Re: Revolutionär

    Tylon | 09:14

  3. Re: Grammatik: "Das Konzept ähnelt dem...

    cb (Golem.de) | 09:12

  4. Re: Nur in GF Experience.

    Arschi | 09:11

  5. Re: GA-AB350-Gaming3 teils verschlimmbessert

    Psy2063 | 09:11


  1. 09:32

  2. 09:13

  3. 07:40

  4. 07:24

  5. 12:40

  6. 11:55

  7. 15:19

  8. 13:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel